トップ > secuad

SECUAD 7/22

secuad

Chapter6 IDS

  • ステートフルシグネチャ
    • 通信のうち、必要な部分だけど対象としてパターンマッチする技術。
  • IPS
    • promisscas mode
      • RSTによる遮断
    • Inline mode
      • Triggerとなるパケットそのものを遮断
  • IPSによる防御方法
    • TCPリセット
    • ソースへのICMP unreachable responceを返答する
    • Firewallとの連携
    • パケット自体の遮断
  • Firewallのところもそうでしたが、技術的なところは既に抑えてあるんだよなあ。すっ飛ばしちゃってもよいかも。

SECUAD 7/20

secuad

Chapter4-2 OS Security UNIX

  • 粒度 : granularity
  • syslog
    • facility: auth, authpriv, cron, daemon, kern, lpr, mail, news, log, user, uucp, local0-7
    • priority: debug, info, notice, warning, err, crit, alert, emerg
  • well-known port(0-1024)
    • 0-511: Internet Service
    • 512-1024: UNIX Service
    • 管轄は IANA

Chapter4-3 OS Security SecureOS

  • TCSEC (Truested Computer System Evaluation Criteria) 1983 U.S.
    • 評価制度 : TPEP (Trusted Product Evaluation Program)
  • ITSEC (Information Technology Security Evaluation Criteria) 1991 UK, FR, ドイツ、オランダ
  • ISO/IEC 15408 Common Criteria 1999.6
  • TrustedOS: MAC (Mandatory Access Control)
    1. Bell-La Padula model (MLS: Multilevel Secure)
      • 機密性に特化
      • 上位レベルのファイルを読むことはできないが、書き込むことは可能
    2. Biba Protection model
      • 完全性に特化
      • 上位レベルのファイルを読むことはできるが、書き込むためには権限が必要
    3. Role-Based Access Control model
  • 一般OS: DAC (Discretionary Access Control)
  • TrustedOS: MAC (Mandatory Access Control)
  • TrustedOSの細かいモデルは覚えなくてよいでしょう。
  • 一度SELinuxあたりを使ってみるとすっきりするのかも。

SECUAD 7/15

secuad

Chapter3 アプリケーションセキュリティ

  • Apprication server の目的 == サービスの提供
    1. 情報の提供を阻害される脅威
    2. 情報の保護が阻害される脅威
    3. サービスそのものが阻害される脅威 == DoS
  • RBL: Realtime Black List
  • Mail as 信書
    1. 盗聴防止
    2. 改ざん防止
    3. 事後否認の防止
  • DNS spoofing
    • DNS = UDP query = connectionless = 戻ってきたパケットが本物かわからない
    • 一応、IDで確認するようになっているが、特定条件下で推測可能なため不十分
  • キャッシュ汚染
    • 登場人物
    • 方法
      • www.a.comに対するqueryがくる
      • ns.a.comはwww.a.comのIPアドレスを返答する
      • そのときついでに、z.comのzoneのauthorityもns.a.comが持っているというオプションをつけておく
      • キャッシュクリアされるまで、z.comに対するqueryがns.a.comに握られてしまう
  • DNSサーバのセキュリティ対策
    • 基本方針は、zone情報をネットワーク内外で分散する
      • 内側キャッシュサーバ
        • コンテンツを持たない
        • 外側の名前解決は、外側のキャッシュサーバに委任
      • 内側コンテンツサーバ
        • 内側・外側zoneの情報を持つ
        • 内側キャッシュサーバからのqueryに対してのみ返答する
        • 名前の再帰解決しない
      • 外側キャッシュサーバ
        • コンテンツを持たない
        • 内側DNSからのqueryに対してのみ回答する
      • 外側コンテンツサーバ
        • インターネットに対して公開するzoneの情報を持つ
        • 再帰解決を行わない

所感

  • 勢いでこのまま続けるか、セキュアドに特化した問題集にシフトするか、悩みどころ..

SECUAD 7/13

secuad

申し込み

  • 願書に書き込んで郵便局に行こうと思いましたが、何度も住所書くのが面倒になって、Webからクレジット決済で申し込んじゃいました。
  • 何となく気が進まなかったので今までやらなかったのですが、便利なので今後はこっちでやることにしましょう。